Я установил OpenSUSE на свой сервер и хочу, чтобы ssh регистрировал каждую команду, которая отправляется в систему через нее.
Я нашел это в моем sshd_config:
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO
Я предполагаю, что обе эти директивы должны быть незакомментированы, но я хотел бы регистрировать каждую команду, а не только авторизацию (вход / выход через SSH). Я просто хочу знать, если кто-то взломал мою систему, что он сделал.
history делает это автоматически, войдите в систему как пользователь, вошедший в систему через ssh, и выполните:
history
Он показывает историю команд, выполненных этим конкретным пользователем.
history > command.log
сохранит историю в файл " command.log "
Подробнее об history: http://en.wikipedia.org/wiki/History_%28Unix%29 и http://compute.cnr.berkeley.edu/cgi-bin/man-cgi?history
История использования командной строки также должна храниться в .bash_history (файл в домашнем каталоге пользователя) при использовании bash (правильно).
Вы сказали, что хотите регистрировать каждую "команду". я полагаю, вы имеете в виду каждую команду, введенную в оболочке пользователя (будь то законный пользователь или нет). в следующих ссылках есть много инструментов, которые могут сделать это более или менее безопасным способом:
примечание: как сказал @ Janne-Pikkarainen, если вы хотите иметь действительно безопасные журналы, вы должны отправить файлы журналов на другой компьютер.
Лучше всего было бы установить Fail2Ban и игнорировать протоколирование SSH. Предотвращение взлома стоит гораздо больше, чем наблюдение того, что мог сделать злоумышленник. Особенно, если предположить, что если он взломает, он может удалить файл журнала.
Если кто-то может проникнуть в вашу систему, возможно, он достаточно умен, чтобы удалить файл истории и подделать логи. Чтобы все было хуже для плохого парня: